La próxima generación de seguridad de los endpoints

Usted dirige un negocio, por lo que el término "próxima generación" puede no ser uno con el que esté familiarizado. Pero a medida que los ataques cibernéticos se vuelven más sofisticados y más negocios caen víctimas de los ciberdelincuentes, es importante conocerlo. Las grandes empresas cuentan con departamentos de TI para implementar la protección de puntos finales (endpoints) de última generación, pero como propietario de una pequeña empresa, es posible que le corresponda a usted asegurarse de que su negocio está protegido contra el crimen cibernético.

En este artículo se explicará con precisión qué es la seguridad de próxima generación para puntos finales, qué ofrece, por qué es importante y en qué se diferencia de las herramientas tradicionales.

¿Por qué necesitamos una protección de última generación para los puntos finales?

La sencilla razón por la que necesitamos una protección de punto final de próxima generación es porque existe una "próxima generación" de ciberataques. Como reacción al aumento de los conocimientos y de la protección antivirus, los ciberataques se han vuelto más sofisticados. Los ataques ahora pueden utilizar varios métodos, desde el malware hasta la ingeniería social, e incluyen varios canales (vectores), incluyendo puntos finales como teléfonos y ordenadores de sobremesa.

Alrededor del año 2003, los ciberdelincuentes se hicieron más avanzados y los ataques pasaron de ser simples virus y descargas de drive-by a complejos ataques por capas que a menudo implicaban manipulación interpersonal. Para proteger a los usuarios de estos ataques más sofisticados, la ciberseguridad debe evolucionar. Los puntos finales (sus dispositivos) siguen siendo los objetivos y muchos de ellos no siempre están dentro de la red de la empresa (teléfonos móviles, tabletas, ordenadores portátiles). Como tales, no tienen una seguridad óptima detrás de un cortafuegos o una puerta de enlace. Los hackers se aprovechan de ello utilizando un mayor número de etapas en sus ataques, lo que a su vez aumenta la necesidad de seguridad en los puntos finales.

Una parte clave de la protección de puntos finales de próxima generación es garantizar que su solución aprenda y se adapte continuamente a medida que las amenazas evolucionan, manteniéndose siempre por delante de los ciberdelincuentes y reconociendo las etapas individuales de los sofisticados ataques de varias capas.

La segunda necesidad clave para la seguridad de los puntos finales de la próxima generación es garantizar que pueda proteger todos los puntos finales de su red, no sólo los que se encuentran detrás del cortafuegos de su empresa. Cada vez hay más dispositivos que se conectan a la red de una empresa. Cada uno de ellos es un punto de entrada potencial para un atacante que podría explotar el software desactualizado del teléfono de un empleado para acceder a los datos dentro de la red y los servidores de su empresa. Una empresa es tan valiosa como sus datos más valiosos y tan débil como su punto más débil. Por ello, es esencial contar con una seguridad que pueda proteger todos los puntos finales conectados, así como su red y sus servidores.

¿Qué es la seguridad de última generación para los puntos finales?

En el pasado, los antivirus basados en firmas -incluyendo la protección tradicional de puntos finales- eran suficientes para detener la mayoría de los ataques. Hoy en día, los ciberdelincuentes se están alejando de los simples métodos de ataque basados en firmas. Por ello, la seguridad de última generación para puntos finales no se basa únicamente en las firmas, sino que utiliza uno o más métodos y/o tecnologías para detectar y prevenir un ataque. Por ejemplo:

Reducción de exploit -Exploit mitigation-.

Los atacantes utilizan todo tipo de herramientas para crear y ejecutar ataques. Por ejemplo, los "exploits" aprovechan las vulnerabilidades presentes en el sistema para eludir las protecciones y permitirles poner en peligro los dispositivos de forma remota y obtener privilegios.

En la mayoría de los casos, estos exploits son vulnerabilidades conocidas, lo que significa que evitarlos implica mantener su software actualizado. Sin embargo, en un entorno empresarial, esto es más fácil de decir que de hacer. Por eso es crítico que su proveedor de seguridad sea capaz de proporcionar una solución de gestión de parches que se encargue de eso en su red.

Al mismo tiempo, sus soluciones deben contar con capacidades de detección y bloqueo de exploits para protegerle incluso cuando hay vulnerabilidades que aún no han sido parcheadas.

Análisis del comportamiento -Behavioral analysis-.

Los ciberataques son más que un simple malware, por lo que la ciberseguridad debe hacer algo más que detectar el malware. Mediante el análisis de comportamiento, la ciberseguridad de próxima generación examina cómo interactúan las aplicaciones y los procesos entre sí para encontrar anomalías que sugieren ataques. Por ejemplo, los usuarios tienden a tomar decisiones lógicas y a utilizar rutas predecibles: abrir software, abrir archivos relevantes, etc. Así pues, si una aplicación intenta abrir/leer un fichero "inapropiado" y/o enviar información a sitios web o aplicaciones no verificadas/sospechosas, el software de la siguiente generación lo impedirá o, al menos, lo cuestionará.

Una tendencia emergente es que los ciberdelincuentes utilicen archivos no maliciosos para evitar su detección y realizar ataques. Por ejemplo, PowerShell, una popular herramienta de Microsoft que se incluye en todas las instalaciones de Windows 10, es utilizada ampliamente por los ciberdelincuentes en muchos ataques.

Aprendizaje automático -Machine learning-.

La red de detección de amenazas de Avast Business reúne la información de cientos de millones de muestras de malware que son analizadas por motores avanzados de aprendizaje automático que aprenden a detectar los patrones de los ciberataques. Gracias a este análisis proactivo previo a la ejecución, la protección de última generación puede detener los ataques antes de que se produzcan.

Para evaluar las amenazas nuevas y desconocidas, hemos creado un canal de aprendizaje de máquinas único y sofisticado que nos permite entrenar e implementar rápidamente modelos de detección de malware en un plazo de 12 horas. También empleamos técnicas avanzadas como las redes neuronales convolucionales profundas para mejorar nuestros modelos de detección de malware.

Aprendizaje profundo -Deep learning-.

Algunas personas piensan que el término "aprendizaje automático" se refiere a lo que, en materia de ciberseguridad, se denomina "aprendizaje profundo", pero el aprendizaje profundo es en realidad un subconjunto del aprendizaje automático, que es un subconjunto de la inteligencia artificial. Hasta hace poco, el software sólo podía identificar objetos basándose en un conjunto de reglas limitadas, lo que significaba que los objetos ambiguos o las similitudes daban lugar a errores.

Pero la tecnología de aprendizaje profundo permite a un ordenador utilizar un conjunto de reglas más complejas -y a menudo cantidades masivas de datos sobre un sujeto- para aprender lo que es o no es un autobús (por ejemplo, en las imágenes de captchas) u otro objeto. Lo hace reuniendo, comparando y procesando varios puntos de datos observados basados en reglas que le permiten ver diferencias sutiles entre tipos de cosas. En el ejemplo, la relación entre el tamaño de la rueda y el tamaño del vehículo, la relación entre la longitud y la altura, y/o cuán grande es el vehículo comparado con la mayoría de los otros vehículos en la ruta. Esta tecnología se utiliza cada vez más en la ciberseguridad para identificar la próxima generación de ciberamenazas más sofisticadas, aprendiendo cuáles son las características de un ataque y no sólo las firmas de los ataques existentes.

Detección de tráfico -Traffic detection-.

Esta tecnología analiza el tráfico de la red para detectar actividades maliciosas. Por ejemplo, es capaz de bloquear el tráfico de malware, impidiendo que se comunique con el hacker. Debido a que el hacker no sabe que el archivo ha sido implementado en el equipo de alguien, no avanzan el ataque a esa víctima potencial.

Otros procesos utilizados en la seguridad de los endpoints de última generación:

• Recopilación y análisis centralizados de eventos.
• Detección y bloqueo del comportamiento del Ransomware.
• Análisis en sandbox.
• Retroceso de los cambios después de la detección de eventos.
• Detección retrospectiva.

En resumen, la protección de puntos finales de próxima generación no se basa únicamente en un almacén de firmas de antivirus o en tecnología basada en firmas para combatir el malware. Implica una serie de sistemas y procesos que pueden identificar partes pequeñas o separadas de ataques más sofisticados, incluyendo software que está continuamente aprendiendo sobre las amenazas. Por lo tanto, la protección de próxima generación para puntos finales puede proteger proactivamente a los usuarios en tiempo real.

¿Cómo se compara el NGEP con el NGAV?

¿Cuál es la diferencia entre la protección de puntos finales de próxima generación (NGEP) y el antivirus de próxima generación (NGAV) y cómo se comparan? En 2016, NGAV fue aceptado para ser la siguiente etapa en la ciberseguridad después de lo que se conoció como "antivirus tradicional" o "AV tradicional".

NGAV incluyó nuevos enfoques para el cambiante panorama de las ciberamenazas, ya que muchas soluciones de AV tradicionales estaban demostrando ser ineficaces. Hay varias diferencias importantes:

• Mejora de la prevención de malware de productos básicos y malware desconocido.
• Inclusión de análisis contextuales para informar las acciones y el desempeño.
• Mejora de la administración.
• Remediación de los ataques (en lugar de sólo detenerlos).

Recientemente han surgido plataformas de protección de puntos finales que incluyen más que sólo NGAV. Estas plataformas suelen combinar las capacidades de detección y respuesta de puntos finales (EDR) con NGAV en una sola plataforma. Sin embargo, aunque eficaces, estas soluciones se encuentran principalmente en el ámbito de las grandes empresas que cuentan con un centro de operaciones de seguridad (SOC) y un equipo de respuesta a incidentes dedicado que vigila y analiza los datos que fluyen desde diversos sistemas.

Las pequeñas y medianas empresas no disponen de los recursos necesarios para cribar estos datos de ataque. Necesitan soluciones unificadas de protección de puntos finales que incluyan NGAV para la protección contra las amenazas avanzadas, así como la gestión de parches para una protección integral.

El futuro de la seguridad de los puntos finales

Desde los teléfonos móviles hasta los dispositivos de IoT, más puntos finales significan más puntos de entrada a la red de un negocio para los ciberdelincuentes. Y con más puntos finales, los atacantes tienen más opciones y ángulos que explotar cuando utilizan ingeniería social, que es cuando los atacantes investigan a los individuos para hacerlos más propensos a hacer clic en un enlace o a divulgar contraseñas. Los ciberdelincuentes han encontrado el eslabón más débil: los humanos. Demasiadas personas piensan: "No soy importante, ¿por qué me atacarían?" pero el acceso que un atacante puede obtener a través de un empleado está resultando muy eficaz.

A medida que los ciberataques continúan evolucionando, también lo hace la seguridad de los puntos finales. Avast Business se mantiene a la vanguardia de la innovación en materia de seguridad en los puestos de trabajo, lo que permite a nuestros clientes ir siempre un paso por delante de los ciberdelincuentes. Nuestra protección de los puntos finales es una de las soluciones más avanzadas del mercado, que utiliza diversos métodos avanzados, como los escudos complejos y los sistemas de prevención de intrusiones en el host, para asegurar todos los accesos a las redes de los usuarios.

Los antivirus tradicionales estaban condenados a ser reactivos, siguiendo los pasos de los ciberdelincuentes. Pero con los avances en inteligencia artificial, aprendizaje profundo y análisis de comportamiento, la ciberseguridad puede ahora mantenerse un paso adelante a medida que los sistemas entienden mejor lo que constituye una amenaza, incluso si nunca antes ha visto una como esta.

Para una protección completa es importante que, además de una protección de alta calidad de los puntos finales, los empleados estén capacitados para detectar vínculos o comportamientos sospechosos y mantener todo el software actualizado.

El futuro de la seguridad de los endpoints está en una inspección más profunda de los archivos y herramientas para identificar comportamientos sospechosos, proporcionar una detección y prevención más rápida y una mejor elaboración de informes para un análisis más sencillo.